Im Gegensatz zum breiter gefassten Begriff der Informationssicherheit haben wir es bei der Cyber Security im Speziellen mit dem Schutz von elektronischen Daten und Systemen zu tun. Sinnvollerweise ist ein ISO oder CISO eng in die Prozesse und Methoden der Cyber Security involviert.
Cyberrisiken aus Unternehmenssicht
Bedrohungen können sowohl interner als auch externer Natur sein. Sie beschränken sich keineswegs auf explizit bösartige Versuche, Daten zu entwenden oder bloßzustellen. Auch unzureichend abgesicherte Datenübertragung zwischen IT-Komponenten, nicht ausreichend durchdachte Speicherungs- und Backupstrategien oder nachlässiger Umgang durch Mitarbeiter mit Daten und Systemen können von Reputationsschäden bis hin zu handfesten finanziellen Einbußen geschäftsschädigend wirken.
Daher ist eine wiederholte Analyse der sicherheitstechnischen Integrität der gesamten IT-Landschaft eines Unternehmens unabdingbar. Das gilt sowohl hinsichtlich einer möglichen Angreifbarkeit von außen als auch in Bezug auf die Minimierung von – absichtlichen oder unabsichtlichen – Bedrohungspotenzialen von innen.
Aus diesen Analysen müssen neben Maßnahmen zur Härtung nach außen Impulse zur sinnvollen Weiterentwicklung und Harmonisierung der IT-Architektur hervorgehen. Gerade in gewachsenen Umgebungen erweist sich das häufig als ein komplexes Unterfangen.
Zudem werden durchdachte Berechtigungskonzepte erforderlich. Zugriffsmöglichkeiten und Rechte müssen auf das minimal notwendige Maß reduziert, regelmäßig hinterfragt und so weit wie möglich zentral verwaltet werden. Zudem sind regelmäßige Schulungen und Awareness-Übungen mit der gesamten Belegschaft durchzuführen.
Externe Cyber Security
Neben der Cyber Security im Unternehmen selbst darf das Thema auch weder bei ausgelagerten Dienstleistungen noch bei verantworteten Projekten und Anlagegütern vernachlässigt werden.
Im ersteren Fall ergeben sich in den letzten Jahren beispielsweise vermehrt Klumpenrisiken aufgrund der Tatsache, dass viele Dienstleister auf die Infrastruktur einiger weniger Cloud-Dienste zurückgreifen, so dass Ausfälle hier massive Einflüsse auf die Geschäftstätigkeit haben können.
Im Falle verwalteter Projekte, beispielsweise im Energiesektor, kommt hinzu, dass Steuerungs- und Überwachungssysteme zum Einsatz kommen, auf die man in der Regel keinen direkten Zugriff hat und die grundsätzlich Gefährdungen unterliegen. Nichtsdestotrotz besteht auch hier eine geschäftliche Verantwortung für die Minimierung operationeller Risiken.
Beiden Problemkreisen begegnet man durch eine angemessene Kombination aus Prüfungsrechten, vertraglichen Verpflichtungen sowie – wo es sich als angebracht erweist – durch Cyber Insurance – Lösungen.